虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

　　虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

　　虛擬專用網(wǎng)至少應(yīng)能提供如下功能：

　　   ·加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰�人截獲也不會(huì)泄露。 
   ·信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。 
   ·提供訪問控制，不同的用戶有不同的訪問權(quán)限。

　　VPN的分類

　　根據(jù)VPN所起的作用，可以將VPN分為三類：VPDN、Intranet VPN和Extranet VPN。

　　1. VPDN（Virtual Private Dial Network）

　　    在遠(yuǎn)程用戶或移動(dòng)雇員和公司內(nèi)部網(wǎng)之間的VPN，稱為VPDN。實(shí)現(xiàn)過程如下：用戶撥號(hào)NSP（網(wǎng)絡(luò)服務(wù) 提供商）的網(wǎng)絡(luò)訪問服務(wù)器NAS（Network Access Server），發(fā)出PPP連接請(qǐng)求，NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路，然后，NAS對(duì)用戶進(jìn)行身份驗(yàn)證，確定是合法用戶，就啟動(dòng)VPDN功能，與公司總部內(nèi)部連接，訪問其內(nèi)部資源。

　　2. Intranet VPN

　　在公司遠(yuǎn)程分支機(jī)構(gòu)的LAN和公司總部LAN之間的VPN。通過Internet這一公共網(wǎng)絡(luò)將公司在各地分支機(jī)構(gòu)的LAN連到公司總部的LAN，以便公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來的高額費(fèi)用。

　　3. Extranet VPN

　　在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN。由于不同公司網(wǎng)絡(luò)環(huán)境的差異性，該產(chǎn)品必須能兼容不同的操作平臺(tái)和協(xié)議。由于用戶的多樣性，公司的網(wǎng)絡(luò)管理員還應(yīng)該設(shè)置特定的訪問控制表ACL（Access Control List），根據(jù)訪問者的身份、網(wǎng)絡(luò)地址等參數(shù)來確定他所相應(yīng)的訪問權(quán)限，開放部分資源而非全部資源給外聯(lián)網(wǎng)的用戶。

　　VPN的隧道協(xié)議

　　VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵于隧道的建立，然后數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP、L2TP等；在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec；另外，SOCKS v5協(xié)議則在TCP層實(shí)現(xiàn)數(shù)據(jù)安全。

　　1. PPTP（Point-to-Point Tunneling Protocol）/ L2TP（Layer 2 Tunneling Protocol）

　　1996年，Microsoft和Ascend等在PPP協(xié)議的基礎(chǔ)上開發(fā)了PPTP，它集成于Windows NT Server4.0中，Windows NT Workstation和Windows 9.X也提供相應(yīng)的客戶端軟件。PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點(diǎn)對(duì)點(diǎn)加密（MPPE:Microsoft Point-to-Point Encryption）算法，可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。

　　1996年，Cisco提出L2F（Layer 2 Forwarding）隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號(hào)訪問服務(wù)器。1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀，可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制，支持MP（Multilink Protocol），把多個(gè)物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發(fā)送（RFC1663）實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來驗(yàn)證對(duì)方的身份。L2TP受到了許多大公司的支持。

　　●優(yōu)點(diǎn)：PPTP/L2TP對(duì)用微軟操作系統(tǒng)的用戶來說很方便，因?yàn)槲④浺寻阉�作為路由軟件的一部分�?/SPAN>PPTP/L2TP支持其他網(wǎng)絡(luò)協(xié)議，如Novell的IPX，NetBEUI和Apple Talk協(xié)議，還支持流量控制。它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。

　　●缺點(diǎn)：PPTP和L2TP將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題。它不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP和L2TP限制同時(shí)最多只能連接255個(gè)用戶。端點(diǎn)用戶需要在連接前手工建立加密信道。認(rèn)證和加密受到限制，沒有強(qiáng)加密和認(rèn)證支持。

PPTP和L2TP最適合用于遠(yuǎn)程訪問虛擬專用網(wǎng)。